Leí mucho sobre la falsificación de IP, pero no estoy seguro de lo fácil que es hacerlo. Digamos que estoy en España, ¿puedo conectarme de alguna manera a un servidor en los Estados Unidos con una dirección IP que está asignada a México? ¿No se negarán los enrutadores simplemente a reenviar mi tráfico? Sé que no obtendrás ninguna respuesta ya que se enviaría a México, pero estoy confundido sobre cómo puedes comunicarte con el servidor de EE. UU. Con la IP incorrecta.
En realidad, no puedes. Siempre que necesite que el tráfico IP sea bidireccional , la suplantación de IP no sirve de nada. El servidor contactado no le respondería a usted , sino a otra persona, a la dirección que ha falsificado.
Por lo general, la suplantación de IP es "útil" solo para interrumpir las comunicaciones: usted envía paquetes dañinos y no quiere que sean rastreables por usted mismo.
En situaciones específicas, puede utilizar un doble spoofing para reunir una medida de bidireccionalidad. Por ejemplo, supongamos que conocemos un sistema en algún lugar que tiene malos generadores de secuencias; cada vez que le envíe un paquete, responderá con un paquete que contenga un número de incremento monotónico. Si nadie se conectaba al sistema, excepto usted, esperaría obtener 1, 2, 3, 4 ...
Supongamos, además, que está interesado en saber si otro está respondiendo a paquetes específicos (por ejemplo, está ejecutando un escaneo de puertos), y desea recibir algo de información, pero no lo haga. No quiero que el sistema de destino tenga su dirección real. Puede enviar a ese sistema un paquete falsificado que simula ser de una máquina con poca secuencia.
Ahora hay tres posibilidades: el sistema de destino no responde, responde, o contraataca activamente y (por ejemplo) escanea la fuente pretendida para determinar los por qué y por qué de ese primer paquete.
Lo que haces es escanear - sin falsificar - la máquina de secuenciación deficiente (PSM). Si nadie, excepto usted, se ha conectado a él, lo que significa que la máquina de destino no ha respondido al PSM, obtendrá 1-2-3-4-5. Si responde una vez , obtendrá 1-3-5-7 (los paquetes 2, 4 y 6 han sido enviados por el PSM al TM en respuesta a las respuestas de TM-PSM al < Em> spoofed de su parte a la TM. Si la TM hizo más conexiones, obtendrá algo como 2-11-17-31 o similar.
El PSM conoce su dirección real, por supuesto, pero el TM no. De esta manera usted puede falsificar una conexión y aun así recopilar cierta información. Si el nivel de seguridad del PSM es lo suficientemente bajo, esto, combinado con el hecho de que su "escaneo" del PSM es inofensivo, es (con suerte) suficiente para evitarle consecuencias.
Otra posibilidad es falsificar una máquina cercana. Por ejemplo, usted está en la red 192.168.168.0/24, tiene IP 192.168.168.192 y tiene acceso promiscuo a otro espacio de direcciones de la máquina, por ejemplo 192.168.168.168. Solo tiene que "convencer" al enrutador que le sirve tanto a usted como a la máquina .168 de que usted es efectivamente la máquina .168 , y desconectar esta última o interrumpir sus comunicaciones (o esperar hasta que esté desconectada razones propias, por ejemplo, un colega que cierra sesión para el almuerzo). Luego, las respuestas a los paquetes .168 falsificados pasarán a tu lado, pero mientras puedas olfatearlos mientras pasan, y el .168 real no podrá enviar un "¡Ese no fui yo!" En respuesta, desde el exterior, la comunicación aparecerá como válida y apuntará a la máquina .168.
Esto es algo así como fingir ser el vecino de la puerta de entrada, mientras que ese apartamento es realmente insostenible. Usted ordena algo por correo, el paquete se entrega en la puerta del otro, le dice al repartidor "Oh, sí, el señor Smith regresará en media hora, solo lo firmaré" y obtendré el paquete.
Di que quiero escribir una carta a un amigo en China. En la parte posterior del sobre, escribo la dirección de mi casa, que está en Australia. Si publico la carta mientras estoy de vacaciones en Egipto, ¿esperaría que el servicio postal arrojara mi carta a la papelera, ya que la dirección de devolución puede estar falsificada?
Digamos que estoy en España, ¿puedo conectarme de alguna manera a un servidor en los Estados Unidos con una dirección IP asignada a México? ¿No se negarán los enrutadores simplemente a reenviar mi tráfico?
No, no lo harán. En lo que respecta al enrutador, este es solo otro paquete legítimo destinado a los EE. UU. El tráfico se enruta a través de Internet de una manera bastante simple. Ninguna de las partes controla toda la ruta o incluso tendría que estar al tanto de una. Los enrutadores hacen poco más que señales de lujo. "¿América del Norte? No aquí. Gire a la izquierda y vuelva a preguntar en la siguiente intersección".
En una inspección más cercana, un enrutador en España podría sospechar que recibió datos de México a los EE. UU., pero sería una pérdida de recursos investigar. Cada enrutador simplemente sigue apuntando en la dirección general del destino. Eventualmente, el paquete debe llegar. A menos que, por supuesto, el enrutador esté configurado de la manera que parece esperar; rechaza el paquete por completo. Eso es ciertamente posible, pero no muy útil para nadie. El enrutador también podría hacer su trabajo y hacerlo con él.